Обзор решения Microsoft Sentinel для приложений SAP®

Системы SAP представляют собой уникальную проблему безопасности. Они обрабатывают чрезвычайно конфиденциальную информацию и являются основными целями злоумышленников.

У команд безопасности обычно мало данных о системах SAP. Несанкционированный доступ к системе SAP может привести к краже файлов, раскрытию данных или нарушению цепочки поставок. Есть несколько элементов управления, позволяющих обнаружить кражу и другие нежелательные действия, которые может совершить злоумышленник после проникновения в систему. Для эффективного обнаружения угроз необходимо сопоставлять действия SAP с другими данными в организации.

Чтобы закрыть этот разрыв, Microsoft Sentinel предлагает решение Microsoft Sentinel для приложений SAP®. Это комплексное решение использует компоненты на каждом уровне Microsoft Sentinel, чтобы обеспечить сквозное обнаружение, анализ, изучение угроз и реагирование на них в среде SAP.

Что делает решение Microsoft Sentinel для приложений SAP®

Решение Microsoft Sentinel для приложений SAP постоянно отслеживает системы SAP® для угроз на всех уровнях — бизнес-логику, приложение, базу данных и ОС. Оно предоставляет следующие возможности.

• Сопоставляйте мониторинг SAP с другими сигналами в организации и использовать обнаружения, предоставляемые решением, или создавать собственные обнаружения для отслеживания конфиденциальных транзакций и других бизнес-рисков, таких как эскалация привилегий, неутвержденные изменения и несанкционированный доступ.

• Создайте автоматизированные процессы реагирования для взаимодействия с системами SAP, чтобы остановить активные угрозы безопасности.

Решение Microsoft Sentinel для приложений SAP также предлагает мониторинг угроз и обнаружение для платформы SAP® Business Technology Platform.

Например, на следующем рисунке показан ландшафт SAP с несколькими идентификаторами БЕЗОПАСНОСТИ с разделением между продуктивными и непродуктивными системами, включая платформу SAP Business Technology Platform. Все системы в этом образе подключены к Microsoft Sentinel для решения SAP.

Описание решения

Источники журналов

Соединитель данных решения связан с широким спектром источников журналов SAP:

• Журнал аудита безопасности ABAP
• Журнал изменений документов ABAP
• Журнал очереди печати ABAP
• Выходной журнал очереди печати APAB
• Журнал заданий ABAP
• Журнал ABAP Workflow
• Данные таблицы базы данных ABAP
• Основные данные пользователя SAP
• Журнал CR ABAP
• Журналы ICM
• Журналы Java Webdispacher
• Системный журнал

Охват обнаружения угроз

• Подозрительные операции с привилегиями — создание привилегированного пользователя

  • Использование аварийных пользователей
  • Разблокировка пользователя и вход в его учетную запись с того же IP-адреса
  • Назначение конфиденциальных ролей и прав администратора
  • Разблокировки пользователей и использование других пользователей
  • Критическое назначение авторизации

• Попытки обойти механизмы защиты SAP —

  • отключение ведения журнала аудита (HANA и SAP)
  • Выполнение модулей конфиденциальных функций
  • Разблокировка заблокированных транзакций
  • Отладка производственных систем
  • Прямой доступ к конфиденциальным таблицам через RFC
  • Выполнение функции Sanative в RFC
  • Изменение конфигурации системы, программа динамического ABAP

• Создание backdoor (сохраняемость)

  • Создание интернет-интерфейсов (ICF)
  • Прямой доступ к конфиденциальным таблицам с помощью удаленного вызова функций
  • Назначение новых обработчиков служб для ICF
  • Выполнение устаревших программ
  • Разблокировки пользователей и использование других пользователей  

• Утечка данных

  • Скачивание нескольких файлов
  • Перехваты очереди печати
  • Разрешение доступа к небезопасным FTP-серверам и подключениям от несанкционированных узлов
  • Динамическое назначение RFC
  • База данных HANA — действия администратор на уровне базы данных  

• Начальный доступ — метод подбора

  • Несколько входов с одного IP-адреса
  • Входы привилегированных пользователей из непредусмотренных сетей
  • Атака воспроизведения SPNego

Сертификация

Решение Microsoft Sentinel для приложений SAP сертифицировано для SAP S/4HANA® Cloud, Private Edition RISE с помощью SAP® и SAP S/4 в локальной среде.

• Сценарии интеграции включают S/4-BC-XAL 1.0/S/4 EXTERNAL ALERT AND MONITORING 1.0 (для S/4).
• Наша сертификация включает S/4 и SAP Rise S/4 HANA® Cloud Private Edition, работающих в любом облаке и локальной среде.
• Мы поддерживаем гибридные развертывания, которые могут охватывать все ресурсы клиентов.

См. сертификацию в каталоге сертифицированных решений SAP.

Присвоение товарных знаков

SAP S/4HANA и SAP — это товарные знаки или зарегистрированные товарные знаки SAP SE или ее филиалов в Германии и других странах или регионах. 

Следующие шаги

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:

• Развертывание решения Microsoft Sentinel для приложений SAP®
• Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
• Развертывание запросов на изменение (CR) SAP и настройка авторизации
• Развертывание содержимого решения из концентратора содержимого
• Развертывание и настройка контейнера для размещения агента соединителя данных SAP
• Мониторинг работоспособности системы SAP
• Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
• Включение и настройка аудита SAP
• Сбор журналов аудита SAP HANA
• Развертывание решения Microsoft Sentinel для SAP® BTP

Устранение неполадок:

• Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP®

Справочные файлы:

• Решение Microsoft Sentinel для данных приложений SAP®
• Решение Microsoft Sentinel для приложений SAP®: справочник по содержимому безопасности
• Справочные материалы по скрипту Kickstart
• Справочные материалы по обновлению скриптов
• Справочные материалы по файлу systemconfig.ini